出现新型无文件僵尸网络Novter

2019年10月1日，美国网络安全企业趋势科技公司发布报告称，发现名为“Novter”的新型僵尸网络，该僵尸网络采用无文件技术，隐蔽性较强，主要通过广告流量欺诈获利。其传播攻击活动起始于2019年3月，主要受害者分布在美国和欧洲地区，并仍然在不断向更多地区传播扩散。经溯源分析，该僵尸网络可能是由KovCoreG僵尸网络的运营者开发和运营的。 据趋势公司分析，在本次攻击活动中，攻击者主要利用钓鱼网站，以Adobe Flash播放器安装包为诱饵，利用社会工程学欺骗用户下载安装。用户下载恶意安装包后，会下载执行恶意HTA程序，进而从远程服务器下载被加密处理的恶意的PowerShell脚本代码（基于开源项目“Invoke-PSInject”）。该恶意脚本能够利用CMSTPLUA COM接口绕过Windows UAC保护机制，并关闭Windows Defender防护软件和Windows Update更新程序。同时，该恶意脚本还会在内存中释放执行Novter后门程序，能够根据攻击者的指令实现进程操作、文件操作、自更新等恶意功能，并具有较强的对抗沙箱等自动化分析能力。